Plataforma
php
Corregido en
1.0.1
Se ha identificado una vulnerabilidad de Cross-Site Scripting (XSS) en el sistema Blood Bank System versión 1.0. Esta falla permite a un atacante inyectar scripts maliciosos en la aplicación, potencialmente comprometiendo la confidencialidad e integridad de los datos del usuario. La vulnerabilidad afecta al archivo /BBfile/Blood/o+.php y se ha publicado públicamente. La versión 1.0.1 corrige esta vulnerabilidad.
Un atacante puede explotar esta vulnerabilidad de XSS manipulando el argumento 'Bloodname' en la URL. Esto permite la inyección de código JavaScript arbitrario en el navegador de la víctima. El impacto puede variar desde el robo de cookies de sesión y la redirección a sitios maliciosos, hasta la modificación del contenido de la página web y la ejecución de acciones en nombre del usuario. La naturaleza persistente de la XSS (si el script se almacena en la base de datos) amplifica el riesgo, afectando a todos los usuarios que visiten la página comprometida. Aunque la severidad CVSS es baja, el potencial de daño a la reputación y la posible exposición de información sensible hacen que esta vulnerabilidad deba ser tratada con seriedad.
Esta vulnerabilidad fue divulgada públicamente el 4 de marzo de 2025. Existe un Proof of Concept (PoC) disponible, lo que facilita la explotación por parte de atacantes. No se ha confirmado la explotación activa en campañas conocidas, pero la disponibilidad del PoC aumenta el riesgo de ataques oportunistas. La vulnerabilidad ha sido añadida al NVD (National Vulnerability Database) y se recomienda monitorear CISA para posibles actualizaciones.
Blood Bank Systems deployed with version 1.0 are directly at risk. Shared hosting environments where multiple applications share the same server resources are particularly vulnerable, as an attacker could potentially exploit this vulnerability to gain access to other applications on the same server. Organizations relying on this system for managing sensitive patient data are also at heightened risk.
• php / server:
grep -r "Bloodname" /BBfile/Blood/o+.php• generic web:
curl -I http://your-blood-bank-system/BBfile/Blood/o+.php?Bloodname=<script>alert(1)</script>disclosure
Estado del Exploit
EPSS
0.12% (30% percentil)
CISA SSVC
Vector CVSS
La mitigación principal es actualizar el Blood Bank System a la versión 1.0.1, que incluye la corrección para esta vulnerabilidad. Si la actualización no es inmediatamente posible, se recomienda implementar medidas de seguridad adicionales. Estas pueden incluir la validación y el saneamiento de todas las entradas de usuario, especialmente el argumento 'Bloodname'. Implementar una política de seguridad de contenido (CSP) puede ayudar a mitigar el impacto de los scripts inyectados. Además, se recomienda monitorear los registros del servidor en busca de patrones sospechosos de inyección de código.
Actualizar a una versión parcheada del sistema Blood Bank System. Si no hay una versión parcheada disponible, sanitizar las entradas del usuario, especialmente el parámetro Bloodname, para evitar la ejecución de código JavaScript malicioso. Implementar medidas de seguridad como la codificación de salida y la validación de entrada.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2025-1957 is a cross-site scripting (XSS) vulnerability in Blood Bank System versions 1.0–1.0, allowing attackers to inject malicious scripts.
Yes, if you are running Blood Bank System version 1.0–1.0, you are affected by this vulnerability.
Upgrade to version 1.0.1 or implement input validation and output encoding on the Bloodname parameter.
While no active campaigns are currently known, the vulnerability has been publicly disclosed, increasing the risk of exploitation.
Refer to the Blood Bank System project's official website or repository for the advisory related to CVE-2025-1957.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.